Siber suçlular, Microsoft’un Güvenilir İmzalama hizmetini kötüye kullanarak zararlı yazılımları üç gün geçerli olan sertifikalarla imzalıyor. Kod imzalama sertifikaları, kötü amaçlı yazılımların güvenilir bir kaynaktan geliyormuş gibi görünmesini sağlıyor. Bu durum, güvenlik yazılımlarının zararlı yazılımları tespit etmesini zorlaştırıyor.
Siber Saldırganlar Microsoft’un İmza Hizmetini Hedef Aldı
Saldırganlar, özellikle Genişletilmiş Doğrulama (EV) kod imzalama sertifikalarına büyük ilgi gösteriyor. Bu sertifikalar, daha sıkı güvenlik kontrollerinden geçtiği için birçok güvenlik programında daha yüksek bir güven seviyesine sahip oluyor. Ayrıca, Microsoft SmartScreen gibi koruma sistemlerinde daha az uyarı verilmesini sağlayarak zararlı yazılımların engellenmesini daha zor hâle getiriyor.
Ancak EV sertifikalarının elde edilmesi zor ve maliyetli bir süreç gerektiriyor. Bu sertifikalar genellikle çalınıyor veya sahte şirketler kurularak satın alınıyor. Kullanıldıktan sonra hızla iptal edilmesi nedeniyle uzun vadede sürdürülebilir bir yöntem olmaktan çıkıyor.
Son dönemde siber güvenlik uzmanları, Microsoft’un Güvenilir İmzalama hizmetinin saldırganlar tarafından kullanıldığını tespit etti. Bu hizmet üzerinden zararlı yazılımlar, yalnızca üç gün geçerli olan sertifikalarla imzalanıyor. Sertifikalar “Microsoft ID Verified CS EOC CA 01” tarafından veriliyor ve süresi dolsa bile iptal edilene kadar geçerliliğini koruyor.
Araştırmacılar, bu yöntemin Crazy Evil Traffers ve Lumma Stealer gibi zararlı yazılım kampanyalarında kullanıldığını belirledi. Microsoft’un 2024 yılında kullanıma sunduğu Güvenilir İmzalama hizmeti, geliştiricilerin yazılımlarını kolayca imzalamalarını sağlayan bulut tabanlı bir çözüm sunuyor.
Microsoft, bu hizmetin güvenliğini artırmak için kısa süreli sertifikalar kullanıyor ve geliştiricilere doğrudan sertifika vermiyor. Böylece, bir güvenlik ihlali yaşandığında sertifikalar hızla iptal edilebiliyor. Ayrıca, hizmetin sağladığı imza desteği, SmartScreen gibi sistemlerde uygulamalara güvenilirlik kazandırıyor.
Microsoft Önlem Almaya Çalışıyor
Microsoft, bu tür kötüye kullanımları engellemek için bazı güvenlik önlemleri uyguluyor. Şirketler yalnızca üç yıldır faaliyet gösteriyorsa kendi adlarına sertifika alabiliyor. Ancak bireysel kullanıcılar, kendi isimleriyle sertifika almak için daha kolay onay sürecinden geçebiliyor.
Siber güvenlik uzmanı Squiblydoo, saldırganların Microsoft’un hizmetini kullanmasının en büyük nedenlerinden birinin kolaylık sağlanması olduğunu belirtiyor. Geleneksel EV sertifikalarının geleceğiyle ilgili belirsizlikler, saldırganları Microsoft’un sunduğu daha erişilebilir bir çözüme yönlendiriyor.
Microsoft, tehdit istihbarat sistemleriyle sürekli olarak bu tür kötüye kullanımları izlediğini ve tespit edilen zararlı yazılım kampanyalarına hızla müdahale ettiğini açıkladı. Şirket, kötü amaçlı yazılımlarla ilişkili sertifikaları iptal ederek ve ilgili hesapları askıya alarak bu tehditlerle mücadele etmeye devam ediyor.
